velkommen til seminar om persondataforordningen...velkommen til seminar om persondataforordningen...

Velkommen til seminar om PersondataforordningenDen 16. maj 2018.

M: info@frivillighed.dk • W: frivillighed.dk • T: 66 14 60 61

CFSA udvikler frivilligheden

www.frivillighed.dk • E info@frivillighed.dk • T 66 14 60 61

Rådgivning Kurser

Se mere på frivillighed.dk

NetværkKonsulent-bistand

Analyse Evaluering

Undersøgelse

Nyheder Konferencer

Forenings-portalen

• Udviklingskonsulent CFSA

• Ældre Sagen

• Dansk Flygtningehjælp

• Lejerbo

• Indien

• Frivillig i over 20 år

Kristian K. Hansen

2 timers tour de force i GDPR

- Hvad siger loven

- Hvad kan vi gøre

Program

Persondataforordningen I

Hvad gør CFSA på området og hvad gør vi ikke?

• Vi er en neutral aktør, som prøver at informere om reglerne på forskellige områder, fx persondataområdet.

• Vi er i løbende dialog med datatilsynet og forskellige aktører fra civilsamfundet om persondataforordningen.

• Vi tolker ikke på lovgivningen, men henviser til Datatilsynet eller advokater/jurister, hvis I vil have en konkret juridisk vurdering.

• En guide og diverse vejledninger vil blive lagt på CFSA’shjemmeside i den nærmeste fremtid

Bare rolig!

GØR IKKE LIGESOM TOTTE!

Generelt om EU’s persondataforordningen

Datatilsynet er myndighed og udsteder vejledninger til forordningen – se fx https://www.datatilsynet.dk/vejledninger/vejledninger-databeskyttelsesforordningen/

Betænkningen nr. 1565 -http://justitsministeriet.dk/sites/default/files/media/Pressemeddelelser/pdf/2017/betaenkning_nr._1565_del_i_bind_1.pdf

http://justitsministeriet.dk/sites/default/files/media/Pressemeddelelser/pdf/2017/betaenkning_nr._1565_del_i_bind_2.pdf

Forordningen –

http://eur-lex.europa.eu/legal-content/DA/TXT/PDF/?uri=OJ:L:2016:119:FULL&from=DA

Hvad er personoplysninger

• Alt som er personhenførbart er en personoplysning.

• Forskel på type af oplysninger og behandling af disse.

• Des mere følsomt, des strengere er kravene til behandling.

Hvad er behandling af personoplysninger?

• Behandling omfatter enhver form for håndtering af personoplysninger. Det kan fx være indsamling, registrering, systematisering, opbevaring, søgning, brug, videregivelse eller sletning af oplysninger (Persondataforordningen, s. 9, Datatilsynet).

Hvad er personoplysninger

Kilde: Side 7, Persondataforordningen, Datatilsynet

Hvornår må I behandle personoplysninger?

• Reglerne for, under hvilke betingelser foreninger og andre må behandle personoplysninger, er i vidt omfang skønsmæssige. Det vil ofte afhænge af en konkret vurdering i den enkelte situation… (Databeskyttelsesforordningen, s. 10, Datatilsynet)

• Hvis I er i tvivl skal I kontakte Datatilsynet.

Seks grundlæggende principper skal være opfyldt, men giver ikke hjemmel i sig selv.

1) Lovlighed, rimelighed og gennemsigtighed.

• Indebærer bl.a. at I giver let tilgængelig information om behandlingen af oplysninger. Den person der behandles oplysninger om skal have oplyst, hvem der er ansvarlig for behandlingen af oplysninger, og hvad jeres formål med behandlingen er.

Grundlæggende principper

2) Formålsbegrænsning.

• Der skal være et formål med at behandle personoplysninger. Formålet skal være sagligt. I må derfor ikke indsamle oplysninger med formål i, at oplysningerne måske kan være til gavn senere hen (Princip om dataminimering).

3) Dataminimering.

• I må ikke behandle mere data end I har brug.

4) Rigtighed

• Oplysninger I behandler skal være rigtige og ajourførte, hvis oplysninger ændres, skal I slette eller opdatere dem.

5) Opbevaringsbegrænsning

• Personoplysninger skal slettes eller gøres anonyme, når det ikke længere er nødvendigt at have oplysningerne. Dette vurderes af dataansvarlig ud fra det formål, som oplysninger er blevet indsamlet til.

6) Integritet og fortrolighed

• Oplysningerne skal beskyttes mod uautoriseret eller ulovlig behandling, ligesom det skal sikres, at oplysningerne ikke går tabt eller bliver beskadiget.

• I skal leve op til de grundlæggende værdier og I skal have hjemmel (lovlig grund) til at behandle personoplysninger (jf. tidligere slides).

Almindelige oplysninger - eksempler på hjemmel

• Beskytte de registreredes eller andens vitale interesser

• Opfyldelse af kontrakt = medlemskab

• Samtykke

• Lovkrav fx SKAT

• Legitim interesse (interesseafvejningsreglen)

Interesseafvejningsreglen

• Art 6, stk. 1, litra (f) – interesseafvejningsreglen

• ”Legitime interesser”, jf. betragtningerne 47-49:

• Forudsætter ”nøje vurdering af, om en registreret på tidspunktet for og i forbindelse med indsamling af personoplysningerne med rimelighed kan forvente, at behandling med dette formål kan finde sted.”

Samtykke

Definition af samtykke:

”Enhver, frivillig, specifik, informeret og utvetydig viljestilkendegivelse, hvorved den registrerede ved erklæring eller klar bekræftelse indvilger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling” (Samtykke, s. 4, Datatilsynet)

Samtykke forsat

• Det er et krav at den dataansvarlige kan påvise, at den registrerede har givet samtykke til behandlingen af sine personoplysninger.

• Ingen krav til form på samtykket, men det skal være letforståeligt og i et klart og enkelt sprog, så den registrerede er informeret og frivilligt giver samtykke.

• Skal altid kunne trækkes tilbage med samme nemhed, som det var afgivet. Dette skal den registrerede informeres om ved afgivelse af samtykke.

Kilde: (Samtykke, s. 4-5, Datatilsynet)

Følsomme oplysninger - behandling

• Må som udgangspunkt ikke behandles.

• Undtagelser er fx hvis I har fået udtrykkelig skriftlig samtykke eller kan finde undtagelser i artikel 9.

Behandling af følsomme oplysninger

Hovedregel: FORBUD, jf. Art 9, stk. 1

Undtagelse: ikke forbudt, hvis et af nedenstående forhold gør sig gældende, jf. Art 9, stk. 2:

• a) Udtrykkeligt samtykke til et eller flere specifikke formål

• b) Nødvendig behandling på det arbejds-, sundheds- eller socialretlige område og, der er hjemmel i lov eller kollektiv overenskomst

• c) Vitale interesser

• d) Behandling foretages af organ med politisk, filosofisk, religiøst eller fagforeningsmæssigt sigte vedr. organets medlemmer, tidligere medlemmer el. personer, som man er i regelmæssig kontakt med. Videregivelse kræver samtykke. Kun non-profit

• e) Oplysningerne er tydeligvis offentliggjort af den registrerede selv

• f) Behandling er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares, eller når en domstol handler i egenskab af domstol

• j) Nødvendig i samfundets interesse til arkivformål, videnskabelig eller historiske forskningsformål eller statiske formål

Artikel 9 – følsomme oplysninger

Artikel 9

• 1. Behandling af personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering er forbudt.

• 2. Stk. 1. finder ikke anvendelse hvis bl.a. d)

• Behandling foretages af en stiftelse, en sammenslutning eller et andet organ, som ikke arbejder med gevinst for øje, og hvis sigte er af politisk, filosofisk, religiøs eller fagforeningsmæssig art, som led i organets legitime aktiviteter og med de fornødne garantier, og på betingelse af at behandlingen alene vedrører organets medlemmer, tidligere medlemmer eller personer, der på grund af organets formål er i regelmæssig kontakt hermed, og at personoplysningerne ikke videregives uden for organet uden den registreredes samtykke.

Den registreredes rettigheder

De vigtigste rettigheder er:

• Retten til at modtage oplysning om en behandling af sine personoplysninger (oplysningspligt)

• Retten til at få indsigt i sine personoplysninger (indsigtsret)

• Retten til at få urigtige personoplysninger berigtiget (retten til berigtigelse)

• Retten til at få sine personoplysninger slettet (retten til at blive glemt)

• Retten til at gøre indsigelse mod at personoplysninger anvendes til direkte markedsføring

• Retten til at gøre indsigelse mod automatiske individuelle afgørelser, herunder profilering

• Retten til at flytte sine personoplysninger (dataportabilitet)

(Kilde: Side 13, Persondataforordningen, Datatilsynet)

Behandling af billeder

Billeder er også personoplysninger og det kræver derfor en hjemmel, at behandle disse.

Datatilsynet har ikke udgivet en vejledning om billeder, men praksis fra persondataloven kan der tales om to typer af billeder.

- Situationsbilleder

- Portrætbilleder

Situationsbilleder - persondataloven

Situationsbilleder defineres i denne sammenhæng som billeder, hvor en aktivitet eller en situation er det egentlige formål med billedet. Det kunne f.eks. være gæster til en rockkoncert, legende børn i en skolegård eller besøgende i en zoologisk have.

• Kræver ikke samtykke (hjemmel = interesseafvejningsreglen)

• Billederne skal være harmløse.

Eksempler på situationsbilleder jf. datatilsynet

Eksempler på situationsbilleder der som udgangspunkt kan offentliggøres uden samtykke:

• Billeder optaget under en fritidsklubs udfoldelse af aktiviteter

• Billeder optaget af unges ophold på en efterskole eller anden privat skole

• Billeder optaget ved en kommunal skoles juleafslutning

Portrætbilleder - persondataloven

Portrætbilleder

• Som altovervejende udgangspunkt kræver det et samtykke at offentliggøre portrætbilleder på internet.

• Dette er begrundet i, at en sådan offentliggørelse vil kunne medføre ulemper for de registrerede, idet nogle mennesker vil kunne føle ubehag ved, at sådanne billeder, eventuelt sammen med oplysninger om navn m.v., gøres offentligt tilgængeligt for alle, der har adgang til internet, og at denne ulempe vejer tungere end interessen i offentliggørelsen, jf. interesseafvejningsreglen i persondatalovens § 6, stk. 1, nr. 7.

• Hvis en skole f.eks. ønsker at offentliggøre portrætbilleder eller klassebilleder af eleverne på sin hjemmeside, må det kun ske, hvis der inden offentliggørelsen indhentes et udtrykkeligt samtykke fra hver enkelt elev, eller dennes forældre afhængig af elevens alder.

Sikkerhed

Behandlingssikkerhed

Art 32, stk. 1 – forordningen.

Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a. alt efter hvad der er relevant

Persondataforordningen II – det helt nye

Dataansvarlig og databehandler

Dataansvarlig.

• Typisk en forening eller andet organ, der – alene eller sammen med andre – afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger

• Fx en eller flere personer i foreningen, som er blevet udnævnt dataansvarlige.

Databehandler.

• Typisk en virksomhed, offentlig myndighed eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne og efter instruks fra den dataansvarlige.

• Fx diverse IT programmer, kommunen eller andre.

Dataansvarlig og databehandler

• I skal have en databehandler aftale med dem, som I overlader til at styre jeres persondata.

• Se evt. eksempel på databehandler aftale på Datatilsynets hjemmeside under nyheder.

Fortegnelser

• I skal lave en fortegnelse, dvs. et dokument som beskriver, hvordan I overholder lovgivningen.

• Se evt. Datatilsynets vejledning på området.

Fortegnelser

a) navn på og kontaktoplysninger for den dataansvarlige og, hvis det er relevant, den fælles dataansvarlige, den dataansvarliges repræsentant og databeskyttelsesrådgiveren

b) formålene med behandlingen

c) en beskrivelse af kategorierne af registrerede og kategorierne af personoplysninger

d) de kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, herunder modtagere i tredjelande eller internationale organisationer

e) hvor det er relevant, overførsler af personoplysninger til et tredjeland eller en international organisation, herunder angivelse af dette tredjeland eller denne internationale organisation og i tilfælde af overførsler i henhold til artikel 49, stk. 1, andet afsnit, dokumentation for passende garantier

f) hvis det er muligt, de forventede tidsfrister for sletning af de forskellige kategorier af oplysninger

g) hvis det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger omhandlet i artikel 32, stk. 1.

I har oplysningspligt – lav privatlivspolitik

• I skal være transparente/gennemsigtige over for omverdenen, dvs. at medlemmer, frivillige og brugere skal have viden om fx dataansvarlig og jeres datapolitik.

• Dette skal være synligt og tilgængeligt.

• Se eksempel på datatilsynets hjemmeside.

Guide og vejledning til foreninger.

• Datatilsynet arbejder på en vejledning og FAQ til foreninger.

• Dette kommer formodentlig i den nærmeste fremtid.

Hvad ved vi ikke?

• Vi har selvfølgelig ingen retspraksis på området endnu

• Vi afventer Folketingets lovforslag, som blandt andet har betydning for behandling af CPR-nummer og oplysninger om straffe.

• Yderligere vejledninger fra Datatilsynet.

To do?

1. Skab overblik over jeres data, dvs. personoplysninger og databehandlere

2. Nedskriv politikker for jeres data (Fortegnelse, databehandleraftaler og privatlivspolitik)

3. Gennemfør passende sikkerhed jf. artikel 32.

4. Opdatere jeres arbejdsgange, dvs. frivillige, medlemmer og brugere

Hvor kan jeg få mere viden?

• Datatilsynets vejledninger og rådgivning. www.datatilsynet.dk

• ISOBRO’s materiale (se under ”PERSONDATAFORORDNING 7.9.2017”)- https://www.isobro.dk/medlemsmoeder/

• DGI og DIF’s materiale (OBS - Idræt) -https://www.dgi.dk/foreningsledelse/administration-i-foreningen/bestyrelsens-ansvar-og-pligter/vejledning-til-persondataforordningen

• Databehandler aftale skabelon -https://www.datatilsynet.dk/nyheder/nyhed/artikel/Ny-skabelon-skal-hjlpe-virksomheder-og-myndigheder-med-at-blive-klar-til-databeskyttelsesforordning/

Spørgsmål?

Tak for i dag. Skriv en mail til kkh@frivillighed.dkHvis du har yderligere spørgsmål.

velkommen til seminar om persondataforordningen...velkommen til seminar om persondataforordningen...

Documents

velkommen arbeidsmØte

velkommen til -...

velkommen! - difi

velkommen førsteklassinger!

velkommen - billund

velkommen i min bursdag velkommen i min bursdag

albanigade 54e, 1. sal ● 5000 odense c ● tlf : 66 14...

webinar om persondataforordningen 10. april 2018 9:30-10...

velkommen til…

horsens sund by - frivillighed.dk · frihed,...

velkommen 2013

velkommenswdownload.efi.com/ftpvefigs/9471201048/7214329166/...velkommen...

velkommen 8c

persondataforordningen og it-sikkerhed · 2017-11-17 · 66...

velkommen | zentralmarkt

at lede en sag - frivillighed.dk · 2020-02-28 ·...

velkommen tilgeneralforsamlingen2019til...

velkommen børnefodbold

velkommen 09.05: velkommen 09.45 - peytz & co...2019/04/25...

velkommen 2009